А Б В Г Д Е Ж З И К Л М Н О П Р С Т У Ф Х Ц Ч Ш Э Ю Я

 

Реферат: Защита информации

 


 

Защита информации

ЗАЩИТА ИНФОРМАЦИИ. Проблема обеспечения защиты информации является одной из важ- нейших при построении надежной информационной структуры учреждения на базе ЭВМ.Эта проблема охватывает как физическую защиту данных и системных программ,так и защиту от несанкционированного доступа к данным, передаваемым по линиям связи и находящимся на накопите- лях, являющегося результатом деятельности как посторонних лиц,так и специальных программ-вирусов.Таким образом, в понятиея1 защиты данных включаются вопросы сохранения целостности данных и управления дос- тупа к данным (санкционированность). Чтобы наиболее эффективно использовать отработанные на практике средства защиты данных, их включение необходимо предусматривать уже на ранних стадиях проектирования учрежденческих систем.Следует под- черкнуть, что организация учрежденческих локальных сетей имеет и обратную сторону медали: все общепринятые процедуры физического ог- раничения доступа к ЭВМ становятся неэффективными и центр проблем перемещается в организацию контроля за коллективным использованием данных.При этом для коллективного использования сохраняется и проб- лема личной информации каждого пользователя сети. Проблема сохранения целостности данных имеет и организационный и технологический аспекты.Организационный аспект включает следующие правила: -носители информации должны храниться в местах, не доступных для посторонних лиц; -важная информация должна иметь несколько копий на разных носи- телях; -защита данных на жестком магнитном диске должна поддерживаться периодическим копированием на гибкие магнитные носители.Частота ко- пирования должна выбираться из соображений минимизации среднего времени на копирование и времени на восстановление информации после последнего копирования в случае возникновении дефектов в модифици- рованной версии; -данные, относящиеся к различным задачам, целесообразно хранить отдельно; -необходимо строго руководствоваться правилами обращения с маг- нитными носителями. Технологический аспект связан с различными видами ограничений, которые поддерживаются структурой СУБД и должны быть доступны поль- зователю.К ним относятся: -ограничение обновления определенных атрибутов с целью сохране- ния требуемых пропорций между их старыми и новыми значениями; -ограничения, требующие сохранение значений поля показателя в некотором диапазоне; -ограничения, связанные с заданными функциональными зависимос- тями. Обычно в СУБД в язык манипулирования данными уже закладываются необходимые компоненты реализации указанных ограничений. Проблема обеспечения санкционированности использования данных является неоднозначной, но в основном охватывает вопросы защиты данных от нежелательной модификации или уничтожения, а также от не- санкционорованного их чтения.Можно выделить три обобщенных механиз- ма управления доступа к данным: идентификация пользователя, непос- редственная (физическая) защита данных и поддержка прав доступа пользователя к данным с возможностью их передачи. Идентификация пользователей определяет шкалу доступа к различ- ным базам данных или частям баз данных (отношениям или атрибутам). Это, по существу, информационный табель о рангах.Физическая защита данных больше относится к организационным мероприятиям, хотя от- дельные вопросы могут касаться непосредственно данных, например, их кодирование. И наконец, средства поддержки и передачи прав доступа должны строго задавать характер дифференцированного общения с дан- ными. Особую специфику имеет защита в статистических базах данных, предназначенных для получения агрегированной информации, например, результатов социологического обследования территориального региона. Основная проблема защиты в данном случае состоит в исключении дос- тупа к информации, относящейся к конкретной записи. я2Метод защиты при помощи программных паролей. Согласно этому методу, реализуемому программными средствами, процедура общения пользователя с ПЭВМ построена так, что запрещает- ся доступ к операционной системе ПЭВМ до тех пор, пока не будет введен пароль.Пароль держится пользователем в тайне и периодически меняется,чтобы предотвратить несанкционированное его использование. Метод паролей является самым простым и дешевым, однако не обеспечи- вает надежной защиты.Используя метод проб и ошибок, с помощью той же ЭВМ становится возможным за небольшое время раскрыть действующий пароль и получить доступ к данным. Более того, основная уязвимость метода паролей заключается в том, что пользователи зачастую выбира- ют очень простые и легкие для запоминания (и тем самым для разгады- вания) пароли, которые не меняются длительное время, а нередко ос- таются прежними и при смене пользователя. Несмотря на ук85 азанные не- достатки, применение метода паролей во многих случаях следует счи- тать рациональным даже при наличии других аппаратных и программных методов защиты. Обычно метод программных паролей сочетается с другими программ- ными методами, определяющими ограничения по видам и объектам досту- па. Логически подобную систему можно представить в виде матрицы уп- равления доступом, которая определяет виды доступа, предусмотренные для различных пользователей и данных. Как правило, эта матрица со- держит лишь небольшое количество реальных элементов, так что общий принцип защиты реализуется в виде списков управления доступом, свя- занных с каждым защищенным блоком данных или отдельными данными. Каждый такой список включает имена всех объектов данных и групп пользователей, которым предоставляется право доступа к данному объ- екту. Слежение за правильностью организации этого процесса должна осуществлять операционная система. Список для управления обычно включает также все виды разрешенных операций доступа: чтение, за- пись или выполнение программы. Операционная система для каждого зарегистрированного пользова- теля хранит его краткие данные, включающие пароль пользователя (как правило, зашифрованный), идентификатор группы пользователя и соот- ветствующий набор прав пользователя по отношению к данным.Например, операционная система Unix позволяет владельцу файлов предоставлять права другим пользователям только читать или записывать (модифици- ровать) для каждого из своих файлов. В случае, когда файлом являет- ся программа, которую нужно выполнить, то операционная система Unix предоставляет владельцу файла возможность определить пользователя, которому разрешается выполнение данной программы. Программные методы защиты данных на уровне операционной среды в настоящее время получили аппаратную поддержку и на микропроцессор- ном уровне.Примером подобных встроенных аппаратных средств на уров- не кристалла являются все микропроцессоры фирмы Intel, следующие за 16-разрядным 80286 (включая его самого). Предусмотренные в нем воз- можности распознавания и манипуляций с объектами, например с зада- чами,а так же прямая аппаратная поддержка управления памятью позво- ляет сформировать надежное ядро защиты данных. Микропроцессор 80286 реализует защиту на различных уровнях.Отдельное пространство вирту- альных адресов, выделяемое к каждой задаче, позволяет получить дос- туп только к тем сегментам, которые находятся в пределах предусмот- ренной области обращений. Даже в пределах своего собственного ад- ресного пространства задача не должна отступать от жесткого разде- ления сегментов по видам доступа для чтения и записи, установленно- го центральным процессором. Предусматриваются также конкретные проверки разрешенности при каждом обращении к сегменту памяти. В отличие от младших моделей микропроцессорного ряда фирмы Intel микропроцессор 20286 имеет че- тыре уровня защиты, что позволяет в зависимости от конкретных тре- бований обеспечивать защиту системных и прикладных программ с раз- личной степенью детализации. я2Метод автоматического обратного вызова. Может обеспечивать более надежную защиту системы от несанкцио- нированного доступа, чем простые программные пароли.В данном случае пользователю нет необходимости запоминать пароли и следить за соб- людением их секретности.Идея системы с обратным вызовом достаточно проста.Удаленные от центральной базы пользователи не могут непос- редственно с ней обращаться, а вначале получают доступ к специаль- ной программе, которой они сообщают соответствующие идентификацион- ные коды.После этого разрывается связь и производится проверка идентификационных кодов.В случае, если код, посланный по каналу связи, правильный, то производится обратный вызов пользователя с одновременной фиксацией даты, времени и номера телефона.К недостат- ку рассматриваемого метода следует отнести низкую скорость обмена - среднее время задержки может исчисляться десятками секунд. я2Метод шифрования данных. Один из наиболее эффективных методов защиты.Он может быть осо- бенно полезен для усложнения процедуры несанкционированного досту- па, даже если обычные средства защиты удалось обойти.Для этого ис- точник информации кодирует ее при помощи некоторого алгоритма шиф- рования и ключа шифрования. Получаемые зашифрованные выходные дан- ные не может понять никто, кроме владельца ключа. Например, алго- ритм шифрования может предусмотреть замену каждой буквы алфавита числом, а ключом при этом может служить порядок номеров букв этого алфавита. Особенно высокой надежностью обладает механизм защиты по методу шифрования данных с аппаратной поддержкой.Разработчиками фирмы Intel создано программируемое ПЗУ с доступом по ключу на базе БИС 27916. При использовании двух подобных ПЗУ 85 с доступом по ключу, один из которых устанавливается в ПЭВМ пользователя (терминальной), а другой в ЭВМ с коллективной базой данных, для доступа не нужно никаких паролей. ПЗУ выполняет функцию "замка" и "ключа", предотв- ращая доступ к базе данных со стороны любой удаленной ПЭВМ, не со- держащей одного из упомянутых ПЗУ с ключом, совпадающим с соответс- твующим ключом ПЭВМ базы данных. При попытке обращения со стороны терминальной ПЭВМ к ЭВМ с центральной базы данных оба ПЗУ проверя- ют, совпадают ли "замок" и "ключ", и если совпадают, то доступ к базе данных разрешается.Параметры ключа никогда не передаются по линии связи, поэтому ключ определить невозможно, даже если несанк- ционированно подключиться к линии связи. Алгоритм взаимодействия терминальной ПЭВМ с ЭВМ базы данных распадается на два последовательных этапа.Первый этап взаимодейс- твия инициирует терминальная ПЭВМ, а второй - ЭВМ базы данных.Бла- годаря этому практически исключается несанкционированный доступ к системе, для которой в данном случае, чтобы получить несанкциониро- ванный доступ, необходимо провести соответствующие модификации с обеих сторон. На первом этапе терминальная ПЭВМ генерирует случайное число и посылает его по линии связи в ЭВМ базы данных.Обе машины обрабаты- вают это число по алгоритму шифрования с использованием собственных ключей. Затем ЭВМ базы данных возвращает свой зашифрованный резуль- тат по линии связи к терминальной ПЭВМ, которая сравнивает принятый результат с собственным зашифрованным результатом. Если они совпа- дают, то на втором этапе происходит аналогичный обмен, только ини- циатором теперь выступает ЭВМ базы данных. Первый этап реализации механизма защиты на основе ПЗУ с досту- пом по ключу типа 27916 состоит в программировании кода,необходимо- го для выполнения процедур проверки прав доступа. В процессе прог- раммирования БИС 27916 производится также программирование 64-раз- рядного ключа и данных, определяющих функции доступа по ключу.В конце программируется бит замка, обеспечивающий недоступность мат- рицы памяти для чтения до тех пор, пока не произойдет взаимодейс- твие с ПЗУ ЭВМ базы данных. Одновременно программируется и номер ключа, являющегося адресом одного ключа (из 1024 возможных), кото- рый необходимо использовать при выполнении взаимодействия в процес- се проверки прав на доступ. Выбор 64-разрядной длины ключа означа- ет, что имеется приблизительно 18*10 возможных уникальных значений ключа. Если даже с помощью компьютера, например другой ПЭВМ, попы- таться методом проб и ошибок определить значение ключа с темпом 0.08 с (максимальный темп повторных проверок права доступа, допус- тимый для данного ЭППЗУ), потребуется 46 млрд. лет, чтобы испробо- вать каждое значение. В ЭППЗУ с доступом по ключу пользователю пре- доставляется возможность выбрать один из кодов задержки, задающих ритм взаимодействия ПЭВМ для определения права на доступ (от 0.08 до 15 с). Качество работы генератора случайных чисел является одним из факторов, обеспечивающих надежную защиту системы. Идеальным генера- тором считается в данном случае тот, который практически не выдает одинаковых чисел. Включенный в состав БИС 27916 генератор случайных чисел обеспечивает почти для 1 млрд. отсчетов только 0.03% чисел, появляющихся несколько раз. Рассмотренный метод шифрования с защитой доступа по ключу обес- печивает высокую оперативность, простоту для пользователя и инфор- мационную надежность по сравнению с ранее описанными методами. я2Защита от компьютерных вирусов. Это особая и важная статья. По мере развития и усложнения компьютерных систем возрастает объем и повышается уязвимость хранящихся в них данных.Одним из но- вых факторов, резко повысивших эту уязвимость, является массовое производство программно-совместимых персональных компьютеров, кото- рое можно назвать одной из причин появления нового класса программД вандалов Д компьютерных вирусов.Наибольшая опасность, возникающая в связи с возможностью заражения программного обеспечения компьютер- ными вирусами, состоит в искажении или уничтожении жизненно важной информации, которое может привести не только к финансовым потерям, но даже повлечь за собой человеческие жертвы. Программные меры: я1архивирование: я0копирование таблицы FAT, ежедневное ведение ар- хивов измененных файлов.Это самый важный, основной метод защиты от вирусов. я1входной контроль: я0проверка поступающих программ детекторами, обновление первых трех байтов сектора начальной загрузки на незаг- ружаемых дискетах (для уничтожения boot-вирусов). я1профилактика: я0работа с дискетами, защищенными от записи, мини- мизация периодов доступности дискетки для записи, раздельное хране- ние вновь полученных и эксплуатировавшихся ранее программ, х85 ранение программ на "винчестере" в архивированном виде. я1ревизия: я0анализ вновь полученных программ специальными средс- твами, контроль целостности с помощью регулярного подсчета конт- рольных сумм и проверки сектора начальной загрузки перед считывани- ем информации или загрузкой с дискеты, контроль содержимого систем- ных файлов (прежде всего COMMAND.COM ) и др. Имеется целый ряд программ-ревизоров, обеспечивающих подсчет контрольных сумм. я1карантин: я0каждая новая программа, полученная без контрольных сумм, должна проходить карантин, т.е. тщательно проверяться и про- гоняться компетентными специалистами по меньшей мере на известные виды компьютерных вирусов, и в течение определенного времени за ней должно быть организованно наблюдение на отдельной ПЭВМ; присвоение специального имени пользователю при работе со вновь поступившими программами, причем для этого пользователя все остальные разделы должны быть либо невидимы, либо иметь статус READ_ONLY. я1сегментация: я0использование программы Advanced Disk Manager для разбиения диска на зоны с установленным атрибутом READ_ONLY. я1фильтрация: я0применение специальных программ для обнаружения по- пыток выполнить несанкционированные действия. я1вакцинирование: я0специальная обработка файлов,дисков, каталогов, запуск резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения (выявле- ния) заражения, т.е. обманывающих вирус. я1автоконтроль целостности: я0использование в программе специальных алгоритмов, позволяющих после запуска программы определить, были ли внесены изменения в файл из которого загружена программа или нет. я1терапия: я0дезактивация конкретного вируса в зараженных програм- мах специальной программой фагом или восстановление первоначального состояния программ путем "выкусывания" всех экземпляров вируса из каждого зараженного файла или диска с помощью этой программы. В процессе работы программы-фаги (например AIDSTEST , ANTIDIR , DOCTOR) "выкусывают" тело вируса и восстанавливают измененную виру- сом последовательность команд. Следует отметить, что наблюдаемое сейчас повсеместное увлечение коллекционированием программ-фагов, как самых важных средств защи- ты, не совсем оправдано. Основные усилия должны быть направлены на предупреждение заражения. Независимо от того, насколько хорошо разработаны программные методы защиты, их эффективность во многих случаях зависит от пра- вильности действий пользователя, действий, в которых возможны ошиб- ки и даже злой умысел. Например, если один из сотрудников регулярно запускает переписываемые где-то игровые программы, то шансы пре- дотвратить заражение с помощью программной защиты безусловно неве- лики. Организационные меры состоят в следующем: Добщее регулирование доступа, включающее систему паролей и сег- ментацию зон доступа; Добучение персонала; Добеспечение физической безопасности компьютера и магнитных но- сителей; Двыработка правил архивирования; Дхранение отдельных файлов в шифрованном виде; Дсоздание и отработка плана восстановления "винчестера". Общее регулирование доступа должно обеспечивать защиту компь- ютеров с ценными данными.Если человек оставляет на улице автомобиль с незапертыми дверцами и вставленным ключом зажигания, то в случае угона автомобиля определенная доля вины будет лежать на этом чело- веке. Ситуация с компьютерами в известной мере аналогична. Помимо опасности заражения вирусами, незаконное копирование или модифика- ция конфиденциальной информации может нанести значительный вред ор- ганизации, не обеспечивающей приемлемый уровень контроля. Теперь кратко рассмотрим вопрос об обучении персонала.Опыт по- казывает, что чем меньше знаком данный сотрудник с компьютерами, тем большую опасность он представляет с точки зрения возможности заражения ПК компьютерными вирусами.Следовательно главным условием безопасности следует признать соответствующий уровень обучения сот- рудников.Следует отметить, что регулирования доступа само по себе является панацеей. ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД ДИоффе А.Ф. Персональные ЭВМ в организационном управлении. Москва "НАУКА". Гл. ред. физ.-мат. лит. 1989. ДСмит Д. Схемы с обратным вызовом, предотвращающие несанкциони- рованный доступ к компьютерам по телефонным каналам. Электроника.-1984. -Nо 5. -С.39-45 ДБаттерварт П. Средства защиты - в системах управления базами данных. Электроника.-1984. -Nо 5. -С.46-52 ДКонтур Д.С. Защита компьютеров и информации от несанкциониро- ванного доступа. Электроника.-1985. -Nо 4. -С.77-82. ДБезруков Н.Н. Вирусы и методы защиты от них. Москва : Информэйшн Компьютер Энтерпрайз. 1991. ДДДДДДД85 ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД я1Фрагмент матрицы управления доступом. ДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД і Объекты ПользователиГДДДДДДДДДДДДДВДДДДДДДДДДДДДВДДДДДДДДДДДДВДДДДДДДДДДДДД іПрограмма А і Файл А і Файл Б і Данные А ДДДДДДДДДДДДЕДДДДДДДДДДДДДЕДДДДДДДДДДДДДЕДДДДДДДДДДДДЕДДДДДДДДДДДДД Петров И.С. і Чтение, і Чтение і і Чтение і запись і і і Кадровая і і і Запись і Чтение служба і і і і Бухгалтерия і Выполнение і і Чтение і і і і і Колосов Т.А.і і Чтение, і і і і запись і і ДДДДДДДДДДДДБДДДДДДДДДДДДДБДДДДДДДДДДДДДБДДДДДДДДДДДДБДДДДДДДДДДДДД я1Схема метода программных паролей.я0 єєєєєєєєєєєєєєєєє Д шифровка/дешифровка ЪДДДДДДДДДДДДДДї і Ввод і і пользователемі і информации і єєєєєєєєєєєєєєєє Зашифро-і  ванные ія1 я0іДанные данныея1 я0 і ЪДДДДДДДДДДДДДДДї єєєєєєєєєєєєєєєє іСловарь данных і і СУБД іНННННННННННННННННі и сведения і АДДДДДДДДДДДДДДЩ іо пользователяхі  АДДДДДДДДДДДДДДДЩ  ЪДДДДДДДДДДДДДДДДДї і Операционная і ЪДДДДДДДДДДДДДДї ісистема (проверкаі іИмена и паролиі іпаролей пользова-іННННННННННННННіпользователей і і телей;защита і АДДДДДДДДДДДДДДЩ і файлов) і  єєєєєєєєєєєєєєєєєєє   ЪДДДДДДДДДДДДДДї  іИмена и паролиі ЪДДДДДДДДДї і файлов і іПроцессорі АДДДДДДДДДДДДДДЩ АДДДДДДДДДЩ   ЪДДДДДДДДДДДДДДї і База данных і і(зашифрованныеі і данные) і АДДДДДДДДДДДДДДЩ , эх сютсхь юярртфрэю. Осэютэых усшышя фюыцэы сыть эрярртыхэы эр ярхфуярхцфхэшх чрррцхэшя. Нхчртшсшью ют тюую, эрсъюыьъю хюрюшю ррчррсютрэы ярюуррььэых ьхтюфы чрщшты, шх эффхътштэюсть тю ьэюушх сыучрях чртшсшт ют ярр- тшыьэюстш фхщсттшщ яюыьчютртхыя, фхщсттшщ, т ъютюрых тючьюцэы юшшс- ъш ш фрцх чыющ уьысхы. Нряршьхр, хсыш юфшэ шч сютруфэшъют рхууыярэю чряусърхт яхрхяшсытрхьых уфх-тю шурютых ярюуррььы, тю шрэсы ярх- фюттрртшть чрррцхэшх с яюьющью ярюуррььэющ чрщшты схчусыютэю эхтх- ышъш. Орурэшчрцшюээых ьхры сюстюят т сыхфующхь: Дюсщхх рхууышрютрэшх фюстуяр, тъыючрющхх сшстхьу яррюыхщ ш сху- ьхэтрцшю чюэ фюстуяр; Дюсучхэшх яхрсюэрыр; Дюсхсяхчхэшх фшчшчхсъющ схчюярсэюстш ъюьяьютхрр ш ьруэштэых эю- сштхыхщ; Дтыррсютър ярртшы ррхштшрютрэшя; Дхррэхэшх ютфхыьэых фрщыют т шшфрютрээюь тшфх; Дсючфрэшх ш ютррсютър яырэр тюсстрэютыхэшя "тшэчхстхрр". Осщхх рхууышрютрэшх фюстуяр фюыцэю юсхсяхчштрть чрщшту ъюьяь- ютхрют с цхээыьш фрээыьш.Есыш чхыютхъ юстртыяхт эр уышцх рттюьюсшыь с эхчряхртыьш фтхрцрьш ш тстртыхээыь ъыючюь чрцшурэшя, тю т сыучрх ууюэр рттюьюсшыя юярхфхыхээря фюыя тшэы суфхт ыхцрть эр этюь чхыю- тхъх. Сштурцшя с ъюьяьютхррьш т шчтхстэющ ьхрх рэрыюушчэр. Пюьшью юярсэюстш чрррцхэшя тшрусрьш, эхчръюээюх ъюяшрютрэшх шыш ьюфшфшър- цшя ъюэфшфхэцшрыьэющ шэфюрьрцшш ьюцхт эрэхстш чэрчштхыьэыщ трхф юр- урэшчрцшш, эх юсхсяхчштрющхщ яршхьыхьыщ урютхэь ъюэтрюыя. Тхяхрь ърртъю ррссьютршь тюярюс юс юсучхэшш яхрсюэрыр.Ояыт яю- ърчытрхт, чтю чхь ьхэьшх чэръюь фрээыщ сютруфэшъ с ъюьяьютхррьш, тхь сюыьшую юярсэюсть юэ ярхфстртыяхт с тючъш чрхэшя тючьюцэюстш чрррцхэшя ПК ъюьяьютхрэыьш тшрусрьш.Сыхфютртхыьэю уыртэыь усыютшхь схчюярсэюстш сыхфухт яршчэрть сююттхтсттующшщ урютхэь юсучхэшя сют- руфэшъют.Сыхфухт ютьхтшть, чтю рхууышрютрэшя фюстуяр срью яю схсх ятыяхтся ярэрцххщ. ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД ДИюффх А.Ф. Пхрсюэрыьэых ЭВМ т юрурэшчрцшюээюь уярртыхэшш. Мюсътр "НАУКА". Гы. рхф. фшч.-ьрт. ышт. 1989. ДСьшт Д. Сххьы с юсрртэыь тычютюь, ярхфюттррщрющшх эхсрэъцшюэш- рютрээыщ фюстуя ъ ъюьяьютхррь яю тхыхфюээыь ърэрырь. Эыхътрюэшър.-1984. -Nю 5. -С.39-45 ДБрттхртррт П. Срхфсттр чрщшты - т сшстхьрх уярртыхэшя срчрьш фрээых. Эыхътрюэшър.-1984. -Nю 5. -С.46-52 ДКюэтур Д.С. Зрщштр ъюьяьютхрют ш шэфюрьрцшш ют эхсрэъцшюэшрю- трээюую фюстуяр. Эыхътрюэшър.-1985. -Nю 4. -С.77-82. ДБхчруъют Н.Н. Вшрусы ш ьхтюфы чрщшты ют эшх. Мюсътр : Иэфюрьэщшэ Кюьяьютхр Ээтхряррщч. 1991. ДДДДДДД85

 

Электронные рефераты / Контакты
 

Hosted by uCoz